Abonner
BEDRIFTSTEKNOLOGI

De ti mest kritiske sårbarhetene i webapplikasjoner

En rapport fra OWASP-prosjektet setter søkelyset på vanlige sårbarheter i webapplikasjoner. Alle kan utnyttes av uvedkommende ved hjelp av lett tilgjengelige verktøy.

Del
Kommenter
Harald BrombachHarald BrombachNyhetsleder
14. jan. 2003 - 05:46
OWASP

- Et overveldende antall organisasjoner bruker store beløp på å sikre nettverket sitt, men glemmer av en eller annen grunn applikasjonene, sier Jeffrey Williams, administrerende direktør i Aspect Security, et selskap som fokuserer på sikkerhet i webapplikasjoner, i en pressemelding.

- Denne ti-på-topp-listen skraper akkurat nå toppen av et enorm isfjell, mener Peter G. Neumann, moderator for ACM Risks Forum (comp.risks).

- Den underliggende sannheten er at de fleste systemer og webapplikasjoner er skrevet uten at det er tatt hensyn til sikkerhetsprinsipper, operasjonelle konsekvenser og ikke minst vanlig fornuft.

Sverre H. Huseby, daglig leder i Heimdall Net Defense, hjelper til daglig norske bedrifter med å unngå slike problemer som det her er snakk om.


Han forteller til digi.no at han stadig kommer over dynamiske websider med symptomer på sårbarheter.

- Jeg vil anslå at annethvert dynamiske nettsted jeg forsiktig leker med har symptomer på en eller flere av feilene som nevnes i dokumentet, sier Huseby, som understreker at han aldri ubedt gjør tester som kan være destruktive, eller som gir ham adgang til informasjon han ikke bør ha adgang til.

Huseby forteller videre han pleier å sende en e-post med beskrivelse av problemet til de nettstedene hvor han oppdager symptomer på svakheter - enten det gjelder private hjemmesider eller nettbutikker og nettbanker. Men bare unntaksvis får han svar og sjelden blir feilene rettet.

Ti på topp-listen over sårbarheter i webapplikasjoner er som følger:

Artikkelen fortsetter etter annonsen
annonsørinnhold
Atea
Ikke kast bort tiden på dårlige løsninger for videomøter
  1. Manglende validering av URL-parametre
  2. Svakheter i aksesskontrollen
  3. Manglende beskyttelse av kontoakkreditiver, nøkler og sesjonscookies
  4. Skriptfeil på tvers av nettsteder (XSS)
  5. Overflodsfeil i mellomlagre
  6. Parameterhåndtering i forbindelse med kommandoer sendt til eksterne systemer
  7. Problemer forbundet med feilhåndtering
  8. Usikker bruk av kryptering
  9. Feil forbundet med fjernadministrasjon
  10. Feilkonfigurering av web- og applikasjonsservere


Hele rapporten, samt en mer detaljert forklaring på listen over, finner du på denne siden hos OWASP.

Les mer om:
BEDRIFTSTEKNOLOGI
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Hvilken ansettelsesform har du takket ja til?
Les mer
Hvilken ansettelsesform har du takket ja til?
    En tjeneste fra